【セキュリティ日報】Apache HTTP Server 2件のRCE脆弱性ほか200件

項目	優先度	対応	影響対象	クイックアクション
Apache HTTP Server .htaccess 権限昇格 CVE-2026-24072	high	推奨	Apache HTTP Server 2.4.66以前の利用者	Apache HTTP Server 2.4.67へアップデート
Apache HTTP Server HTTP/2 Double Free CVE-2026-23918	high	推奨	Apache HTTP Server 2.4.66でHTTP/2有効の環境	Apache HTTP Server 2.4.67へアップデート
Microsoft Bing デシリアライゼーションRCE CVE-2026-33819	high	対応必須	Microsoft Bing（サービス側対応）	Microsoftのセキュリティアップデートガイドを確認
Apache OpenNLP 任意クラスインスタンス化 CVE-2026-42027	high	対応必須	Apache OpenNLP 2.5.9未満利用者	OpenNLP 2.5.9または3.0.0-M3以降へアップデート
Apache OpenNLP XXE CVE-2026-40682	high	対応必須	Apache OpenNLP 2.5.9未満利用者	OpenNLP 2.5.9または3.0.0-M3以降へアップデート
Jenkins GitHub Plugin XSS CVE-2026-42523	high	対応必須	Jenkins GitHub Plugin 1.46.0以前の利用者	Jenkins GitHub Pluginを最新版へアップデート
OpenC3 COSMOS SQLインジェクション CVE-2026-42087	high	対応必須	OpenC3 COSMOS 6.7.0〜7.0.0-rc3未満利用者	COSMOS 7.0.0-rc3以降へアップデート
GNU inetutils telnetd バッファオーバーフロー CVE-2026-32746	high	対応必須	GNU inetutils telnetd利用者	inetutils最新版へアップデートまたはSSHへ移行
Android ADB 無線認証バイパス CVE-2026-0073	high	推奨	Android端末（無線ADB有効の環境）	2026年5月Androidセキュリティパッチを適用
Evolver コマンドインジェクション CVE-2026-42076	high	対応必須	Evolver 1.69.3未満利用者	Evolver 1.69.3以降へアップデート

本日はNVDで200件のCVEが公開・更新され、うちCriticalが30件と多い1日です。特にCVE-2026-24072・CVE-2026-23918（Apache HTTP Server、CVSS 8.8×2件）は影響範囲が広く、早急な確認を推奨します。またCVE-2026-33819（Microsoft Bing、CVSS 10.0）が本日最高スコアです。

本日の概要

指標	数値
新規・更新CVE	200件
Critical (9.0+)	30件
High (7.0-8.9)	76件
Medium (4.0-6.9)	59件
Low (0-3.9)	11件
未スコア	24件
OSV（npm）	2件
GHSA（更新含む）	5,096件

※ GeoVision製品群に5件以上、vm2サンドボックスエスケープ4件、Apache OpenNLP 2件のCriticalが含まれます。

Critical / High 脆弱性の詳細解説

CVE-2026-24072 — Apache HTTP Server .htaccess 権限昇格

CVSSスコア: 8.8（High）
CWE: CWE-269（不適切な権限管理）
影響: Apache HTTP Server 2.4.66 以前
概要: 複数のモジュールにおいて、ローカルの.htaccess作成者がhttpdユーザー権限でファイルを読み取れる権限昇格の脆弱性です。共有ホスティング環境など、.htaccess編集をユーザーに許可している構成で特に影響が大きくなります。
対策: Apache HTTP Server 2.4.67 へアップデートしてください
参考: NVD / Apache Security

CVE-2026-23918 — Apache HTTP Server HTTP/2 Double Free

CVSSスコア: 8.8（High）
CWE: CWE-415（Double Free）
影響: Apache HTTP Server 2.4.66
概要: HTTP/2プロトコル処理においてDouble Freeが発生し、リモートコード実行の可能性がある脆弱性です。HTTP/2を有効にしている環境が対象となります。
対策: Apache HTTP Server 2.4.67 へアップデートしてください
参考: NVD / Apache Security

CVE-2026-33819 — Microsoft Bing デシリアライゼーションRCE

CVSSスコア: 10.0（Critical）
CWE: CWE-502（信頼できないデータのデシリアライゼーション）
影響: Microsoft Bing
概要: Microsoft Bingにおける信頼できないデータのデシリアライゼーション脆弱性です。未認証の攻撃者がネットワーク経由で任意コードを実行可能。本日公開CVEの中で最高スコアの10.0ですが、サーバーサイドの脆弱性であり、Microsoftによるサービス側での対応が中心となります。
対策: Microsoftのセキュリティアップデートガイドを確認してください
参考: NVD / MSRC

CVE-2026-42027 — Apache OpenNLP 任意クラスインスタンス化

CVSSスコア: 9.8（Critical）
CWE: CWE-470（外部制御による入力値の不適切な使用）
影響: Apache OpenNLP 2.5.9 未満、3.0.0-M3 未満
概要: ExtensionLoaderがClass.forName()でクラスをロードし、no-argコンストラクタでインスタンス化するため、悪意あるモデルファイル経由で任意のクラスを呼び出せます。
対策: Apache OpenNLP 2.5.9 または 3.0.0-M3 以降へアップデートしてください
参考: NVD / Apache ML

CVE-2026-40682 — Apache OpenNLP XXE

CVSSスコア: 9.1（Critical）
CWE: CWE-611（XML外部実体参照）
影響: Apache OpenNLP 2.5.9 未満、3.0.0-M3 未満
概要: DictionaryEntryPersistorクラスがSAXParserの初期化時にSECURE_PROCESSINGを有効にしておらず、辞書ファイルの解析時にXXE攻撃が可能です。
対策: Apache OpenNLP 2.5.9 または 3.0.0-M3 以降へアップデートしてください
参考: NVD / Apache ML

CVE-2026-42523 — Jenkins GitHub Plugin XSS

CVSSスコア: 9.0（Critical）
CWE: CWE-79（クロスサイトスクリプティング）
影響: Jenkins GitHub Plugin 1.46.0 以前
概要: GITScmポーリング用のGitHub hookトリガー機能を実装するJavaScriptで、現在のジョブURLが適切に処理されず、格納型XSSの脆弱性があります。Overall/Read権限を持つ攻撃者が悪用可能です。
対策: Jenkins GitHub Plugin を最新版へアップデートしてください
参考: NVD / Jenkins Advisory

CVE-2026-42087 — OpenC3 COSMOS SQLインジェクション

CVSSスコア: 9.6（Critical）
CWE: CWE-89（SQLインジェクション）
影響: OpenC3 COSMOS 6.7.0〜7.0.0-rc3 未満
概要: 時系列データベース（TSDB）コンポーネントのtsdb_lookup関数にSQLインジェクション脆弱性が存在します。
対策: OpenC3 COSMOS 7.0.0-rc3 以降へアップデートしてください
参考: NVD / GHSA

CVE-2026-32746 — GNU inetutils telnetd バッファオーバーフロー

CVSSスコア: 9.8（Critical）
CWE: CWE-120（バッファオーバーフロー）
影響: GNU inetutils 2.7 以前
概要: telnetdのLINEMODE SLCサブオプションハンドラーにおいて、add_slc関数がバッファの上限チェックを行わず、境界外書き込みが発生します。
対策: GNU inetutilsの最新版へアップデート、またはtelnetdの使用を停止してSSHへ移行してください
参考: NVD

CVE-2026-0073 — Android ADB無線認証バイパス

CVSSスコア: 8.8（High）
CWE: CWE-303（認証アルゴリズムの不適切な実装）
影響: Android（2026年5月セキュリティパッチレベル未満）
概要: adbd_tls_verify_certのロジックエラーにより、無線ADBの相互認証がバイパスされ、近接のリモート攻撃者がシェルユーザーとしてコード実行可能です。ユーザー操作は不要です。
対策: 2026年5月のAndroidセキュリティパッチを適用してください
参考: NVD / Android Bulletin

CVE-2026-42076 — Evolver コマンドインジェクション

CVSSスコア: 9.8（Critical）
CWE: CWE-78（OSコマンドインジェクション）
影響: Evolver 1.69.3 未満
概要: AI エージェント向けの自己進化エンジン Evolver の_extractLLM()関数において、文字列結合で構成されたcurlコマンドがシェル経由で実行され、コマンドインジェクションが可能です。
対策: Evolver 1.69.3 以降へアップデートしてください
参考: NVD / GHSA

エコシステム別サマリー

OSVデータでは npm エコシステムの脆弱性が2件報告されています。

Astro（CVE-2026-41067）: define:varsディレクティブにおけるXSS。</script>タグのサニタイズが大文字小文字を区別して行われるため、</Script>等でバイパス可能。v6.1.6で修正。
@nestjs/core（CVE-2026-35515）: SSEストリームにおける改行文字の未サニタイズによるインジェクション。v11.1.18で修正。

GHSAでは5,096件のアドバイザリが更新されています（大部分は過去のアドバイザリのメタデータ更新）。npm、Go、Packagist、PyPI、crates.io、Mavenと幅広いエコシステムにまたがります。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 30件と高い水準です。特に Apache HTTP Server 2.4.67 のリリースに伴い、権限昇格（CVE-2026-24072）とHTTP/2 Double Free（CVE-2026-23918）の2件が修正されています。Apacheを利用している環境では早めのアップデート確認を推奨します。また、Apache OpenNLPにも2件のCritical（任意クラスインスタンス化・XXE）が公開されており、NLPパイプラインで利用している場合は対応が必要です。Jenkins GitHub Plugin（XSS、CVSS 9.0）も CI/CD 環境で広く使われるため確認してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。